تمكين الحماية من استغلال

ينطبق على:

تلميح

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تساعد الحماية من الهجماتعلى الحماية من البرامج الضارة التي تستخدم الهجمات لإصابة الأجهزة والانتشار. تتكون الحماية من الهجمات من العديد من عوامل تخفيف المخاطر التي يمكن تطبيقها على نظام التشغيل أو التطبيقات الفردية.

هام

.NET 2.0 غير متوافق مع بعض إمكانيات الحماية من الهجمات، وتحديدا، تصفية عنوان التصدير (EAF) وتصفية عنوان الاستيراد (IAF). إذا قمت بتمكين .NET 2.0، فإن استخدام EAF وIAF غير معتمد.

يتم تضمين العديد من الميزات من مجموعة أدوات تجربة تخفيف المخاطر المحسنة (EMET) في الحماية من الهجمات.

يمكنك تمكين كل تخفيف من المخاطر بشكل منفصل باستخدام أي من هذه الأساليب:

يتم تكوين الحماية من الهجمات بشكل افتراضي في Windows 10 وWindows 11. يمكنك تعيين كل تخفيف للمخاطر إلى وضع تشغيل أو إيقاف تشغيل أو إلى قيمته الافتراضية. تحتوي بعض عوامل تخفيف المخاطر على المزيد من الخيارات. يمكنك تصدير هذه الإعدادات كملف XML ونشرها على أجهزة أخرى.

يمكنك أيضا تعيين عوامل تخفيف المخاطر إلى وضع التدقيق. يتيح لك وضع التدقيق اختبار كيفية عمل عوامل تخفيف المخاطر (ومراجعة الأحداث) دون التأثير على الاستخدام العادي للجهاز.

تطبيق أمن Windows

  1. افتح تطبيق أمن Windows عن طريق تحديد أيقونة الدرع في شريط المهام، أو عن طريق البحث في قائمة البدء عن أمن.

  2. حدد لوحة التحكم في التطبيق والمستعرض (أو أيقونة التطبيق على شريط القوائم الأيمن) ثم حدد إعدادات الحماية من الهجمات.

  3. انتقل إلى إعدادات البرنامج واختر التطبيق الذي تريد تطبيق عوامل تخفيف المخاطر عليه.

    • إذا كان التطبيق الذي تريد تكوينه مدرجا بالفعل، فحدده، ثم حدد تحرير.
    • إذا لم يكن التطبيق مدرجا، في أعلى القائمة، حدد إضافة برنامج لتخصيصه ثم اختر الطريقة التي تريد إضافة التطبيق بها.
    • استخدم إضافة حسب اسم البرنامج لتطبيق تخفيف المخاطر على أي عملية قيد التشغيل بهذا الاسم. حدد ملفا بملحقه. يمكنك إدخال مسار كامل لتقييد تخفيف مخاطر التطبيق الذي يحمل هذا الاسم فقط في هذا الموقع.
    • استخدم اختيار مسار ملف محدد لاستخدام نافذة منتقي ملفات مستكشف Windows قياسية للبحث عن الملف الذي تريده وتحديده.
  4. بعد تحديد التطبيق، سترى قائمة بكل عوامل تخفيف المخاطر التي يمكن تطبيقها. سيؤدي اختيار التدقيق إلى تطبيق تخفيف المخاطر في وضع التدقيق فقط. يتم إعلامك إذا كنت بحاجة إلى إعادة تشغيل العملية أو التطبيق، أو إذا كنت بحاجة إلى إعادة تشغيل Windows.

  5. كرر الخطوات من 3 إلى 4 لجميع التطبيقات وتخفيفات المخاطر التي تريد تكوينها.

  6. ضمن قسم إعدادات النظام، ابحث عن تخفيف المخاطر الذي تريد تكوينه ثم حدد أحد الإعدادات التالية. تستخدم التطبيقات التي لم يتم تكوينها بشكل فردي في قسم إعدادات البرنامج الإعدادات التي تم تكوينها هنا.

    • قيد التشغيل بشكل افتراضي: يتم تمكين تخفيف مخاطر التطبيقات التي لا تحتوي على مجموعة تخفيف المخاطر هذه في قسم إعدادات البرنامج الخاص بالتطبيق
    • قيد إيقاف التشغيل بشكل افتراضي: يتم تعطيل تخفيف مخاطر التطبيقات التي لا تحتوي على مجموعة تخفيف المخاطر هذه في قسم إعدادات البرنامج الخاص بالتطبيق
    • استخدام الافتراضي: يتم تمكين تخفيف المخاطر أو تعطيله، استنادا إلى التكوين الافتراضي الذي تم إعداده بواسطة Windows 10 أو بواسطة تثبيت Windows 11؛ يتم دائما تحديد القيمة الافتراضية (تشغيل أو إيقاف تشغيل) إلى جانب تسمية استخدام الافتراضي لكل تخفيف للمخاطر
  7. كرر الخطوة 6 لجميع عمليات تخفيف المخاطر على مستوى النظام التي تريد تكوينها. حدد تطبيق عند الانتهاء من إعداد التكوين.

إذا أضفت تطبيقا إلى قسم إعدادات البرنامج وقمت بتكوين إعدادات التخفيف الفردية هناك، احترامها فوق التكوين لنفس عوامل التخفيف المحددة في قسم إعدادات النظام . تساعد المصفوفة والأمثلة التالية على توضيح كيفية عمل الافتراضيات:

ممكّن في إعدادات البرنامج ممكّن في إعدادات النظام سلوك
نعم لا كما هو محدد في إعدادات البرنامج
نعم نعم كما هو محدد في إعدادات البرنامج
لا نعم كما هو محدد في إعدادات النظام
لا لا افتراضي كما هو محدد في استخدام الافتراضي

مثال 1: تقوم يقوم أشرف بتكوين "منع تنفيذ التعليمات البرمجية" في مقطع إعدادات النظام ليتم إيقاف تشغيله بشكل افتراضي

يضيف Mikael التطبيق test.exe إلى قسم إعدادات البرنامج. في خيارات هذا التطبيق، ضمن "منع تنفيذ التعليمات البرمجية" (DEP)، يقوم أشرف بتمكين خيار "تجاوز إعدادات النظام" وتعيين المفتاح إلى "تشغيل". لا توجد تطبيقات أخرى مدرجة في قسم إعدادات البرنامج.

النتيجة هي تمكين DEP ل test.exe فقط. لن يتم تطبيق DEP على جميع التطبيقات الأخرى.

مثال 2: تقوم ياسمين بتكوين "منع تنفيذ التعليمات البرمجية" في إعدادات النظام ليتم إيقاف تشغيلها بشكل افتراضي

تضيف Josie التطبيق test.exe إلى قسم إعدادات البرنامج. في الخيارات الخاصة بهذا التطبيق، ضمن "منع تنفيذ التعليمات البرمجية" (DEP)، تقوم ياسمين بتمكين خيار "تجاوز إعدادات النظام" وتعيين المفتاح إلى "تشغيل".

تقوم ياسمين أيضا بإضافة تطبيق miles.exe إلى قسم إعدادات البرنامج وتكوين حماية تدفق التحكّم (CFG) إلى تشغيل. لا تقوم ياسمين بتمكين خيار تجاوز إعدادات النظام لـ "منع تنفيذ التعليمات البرمجية" أو أي عمليات تخفيف مخاطر أخرى لهذا التطبيق.

النتيجة هي تمكين DEP ل test.exe. لن يتم تمكين DEP لأي تطبيق آخر، بما في ذلكmiles.exe. سيتم تمكين CFG ل miles.exe.

  1. افتح تطبيق أمن Windows عن طريق تحديد أيقونة الدرع في شريط المهام أو البحث في قائمة البدء عن أمن Windows.

  2. حدد لوحة التحكم في التطبيق والمستعرض (أو أيقونة التطبيق على شريط القوائم الأيمن) ثم حدد الحماية من الهجمات.

  3. انتقل إلى إعدادات البرنامج واختر التطبيق الذي تريد تطبيق عوامل تخفيف المخاطر عليه.

    • إذا كان التطبيق الذي تريد تكوينه مدرجا بالفعل، فحدده، ثم حدد تحرير.
    • إذا لم يكن التطبيق مدرجا، في أعلى القائمة، حدد إضافة برنامج لتخصيصه ثم اختر الطريقة التي تريد إضافة التطبيق بها.
      • استخدم إضافة حسب اسم البرنامج لتطبيق تخفيف المخاطر على أي عملية قيد التشغيل بهذا الاسم. حدد ملفا بملحق. يمكنك إدخال مسار كامل لتقييد تخفيف مخاطر التطبيق الذي يحمل هذا الاسم فقط في هذا الموقع.
      • استخدم اختيار مسار ملف محدد لاستخدام نافذة منتقي ملفات مستكشف Windows قياسية للبحث عن الملف الذي تريده وتحديده.
  4. بعد تحديد التطبيق، سترى قائمة بكل عوامل تخفيف المخاطر التي يمكن تطبيقها. سيؤدي اختيار التدقيق إلى تطبيق تخفيف المخاطر في وضع التدقيق فقط. سيتم إعلامك إذا كنت بحاجة إلى إعادة تشغيل العملية أو التطبيق، أو إذا كنت بحاجة إلى إعادة تشغيل Windows.

  5. كرر الخطوات من 3 إلى 4 لجميع التطبيقات وتخفيفات المخاطر التي تريد تكوينها. حدد تطبيق عند الانتهاء من إعداد التكوين.

Intune

  1. سجل الدخول إلى مدخل Azure وافتح Intune.

  2. انتقل إلىملفات تعريف>تكوين تكوين> الجهازإنشاء ملف تعريف.

  3. قم بتسمية ملف التعريف، واختر Windows 10 والإصدارات الأحدث، وحدد قوالب لنوع ملف التعريف واختر حماية نقطة النهاية ضمن اسم القالب.

    ملف تعريف إنشاء حماية نقطة النهاية

  4. حدد تكوين الحماية من>استغلال الحماية من الهجمات> ل Windows Defender.

  5. تحميل ملف XML باستخدام إعدادات الحماية من الهجمات:

    إعداد تمكين حماية الشبكة في Intune

  6. حدد موافق لحفظ كل ريشة مفتوحة، ثم اختر إنشاء.

  7. حدد علامة تبويب تعيينات ملفات التعريف، وقم بتعيين النهج ل جميع المستخدمين وجميع الأجهزة، ثم حدد حفظ.

MDM

استخدم موفر خدمة تكوين (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings لتمكين عمليات تخفيف مخاطر الحماية من الهجمات أو تعطيلها أو لاستخدام وضع التدقيق.

Microsoft Configuration Manager

أمان نقطة النهاية

  1. في Microsoft Configuration Manager، انتقل إلى Endpoint Security>Attack surface reduction.

  2. حدد إنشاءالنظام الأساسيللنهج>، وبالنسبة إلى ملف التعريف، اختر الحماية من الهجمات. ثم حدد إنشاء.

  3. حدد اسما ووصفا، ثم اختر التالي.

  4. اختر تحديد ملف XML واستعرض وصولا إلى موقع ملف XML للحماية من الهجمات. حدد الملف، ثم اختر التالي.

  5. تكوين علامات النطاقوالتعيينات إذا لزم الأمر.

  6. ضمن مراجعة + إنشاء، راجع إعدادات التكوين، ثم اختر إنشاء.

الأصول والامتثال

  1. في Microsoft Configuration Manager، انتقل إلى Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. حدد Home>Create Exploit Guard Policy.

  3. حدد اسما ووصفا، وحدد الحماية من الهجمات، ثم اختر التالي.

  4. استعرض وصولا إلى موقع ملف XML للحماية من الهجمات وحدد التالي.

  5. راجع الإعدادات، ثم اخترالتالي لإنشاء النهج.

  6. بعد إنشاء النهج، حدد إغلاق.

نهج المجموعة

  1. على جهاز إدارة نهج المجموعة، افتح وحدة التحكم في إدارة نهج المجموعة وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وانقر فوق "تحرير".

  2. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

  3. قم بتوسيع الشجرة إلى مكونات> WindowsWindows Defender Exploit Guard>Exploit Protection>استخدم مجموعة شائعة من إعدادات الحماية من الهجمات.

  4. حدد ممكّن واكتب موقع ملف XML، ثم اختر موافق.

PowerShell

يمكنك استخدام فعل PowerShell Get أو Set مع ProcessMitigationcmdlet. سيؤدي استخدام Get إلى سرد حالة التكوين الحالية لأي عمليات تخفيف المخاطر التي تم تمكينها على الجهاز - أضف cmdlet وexe لـ -Name إلى التطبيق للاطلاع على عمليات تخفيف المخاطر لهذا التطبيق فقط:

Get-ProcessMitigation -Name processName.exe

هام

ستعرض عمليات تخفيف المخاطر على مستوى النظام التي لم يتم تكوينها حالة NOTSET.

  • بالنسبة للإعدادات على مستوى النظام، يشير NOTSET إلى أنه قد تم تطبيق الإعداد الافتراضي لتخفيف المخاطر.
  • بالنسبة للإعدادات على مستوى التطبيق، تشير NOTSET إلى أنه سيتم تطبيق الإعداد على مستوى النظام لتخفيف المخاطر. يمكن رؤية الإعداد الافتراضي لكل تخفيف مخاطر على مستوى النظام في أمن Windows.

استخدم Set لتكوين كل عملية لتخفيف المخاطر بالتنسيق التالي:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

المكان:

  • <النطاق>:
    • -Name للإشارة إلى أنه يجب تطبيق عوامل تخفيف المخاطر على تطبيق معين. حدد ملف تنفيذ التطبيق بعد هذه العلامة.
      • -System للإشارة إلى ضرورة تطبيق تخفيف المخاطر على مستوى النظام
  • <الإجراء>:
    • -Enable لتمكين تخفيف المخاطر
    • -Disable لتعطيل تخفيف المخاطر
  • <التخفيف من المخاطر>:
    • cmdlet الخاص بتخفيف المخاطر مع أي خيارات فرعية (محاطة بمسافات). يتم فصل كل عامل تخفيف من المخاطر بفاصلة.

على سبيل المثال، لتمكين تخفيف مخاطر الحد من تنفيذ التعليمات البرمجية (DEP) مع محاكاة ATL thunk ولملف تنفيذي يسمى test.exe في المجلد C:\Apps\LOB\test، ولمنع ملف التنفيذ ذلك من إنشاء العمليات التابعة، يمكنك استخدام الأمر التالي:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

هام

افصل كل خيار من خيارات تخفيف المخاطر بفاصلة.

إذا أردت تطبيق ميزة "منع تنفيذ التعليمات البرمجية" على مستوى النظام، فستستخدم الأمر التالي:

Set-Processmitigation -System -Enable DEP

لتعطيل عوامل تخفيف المخاطر، يمكنك استبدال -Enable بـ -Disable. ومع ذلك، بالنسبة إلى عمليات تخفيف المخاطر على مستوى التطبيق، يفرض هذا الإجراء تعطيل تخفيف المخاطر لهذا التطبيق فقط.

إذا كنت بحاجة إلى إعادة تخفيف المخاطر إلى الإعداد الافتراضي للنظام، فستحتاج إلى تضمين -Remove cmdlet أيضا، كما هو الحال في المثال التالي:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

يسرد الجدول التالي عوامل تخفيف المخاطر الفردية ( والتدقيقات، عند توفرها) التي سيتم استخدامها مع معلمات cmdlet -Enable أو -Disable.

نوع تخفيف المخاطر تنطبق على كلمة أساسية لمعلمة cmdlet للتخفيف من المخاطر معلمة cmdlet لوضع التدقيق
حماية تدفق التحكم (CFG) النظام ومستوى التطبيق CFG, StrictCFG, SuppressExports التدقيق غير متوفر
منع تنفيذ التعليمات البرمجية (DEP) النظام ومستوى التطبيق DEP, EmulateAtlThunks التدقيق غير متوفر
فرض إعادة الترتيب العشوائي للصور (ASLR إلزامي) النظام ومستوى التطبيق ForceRelocateImages التدقيق غير متوفر
تخصيصات الذاكرة عشوائيا (ASLR من الأسفل إلى الأعلى) النظام ومستوى التطبيق BottomUp, HighEntropy التدقيق غير متوفر
التحقق من صحة سلاسل الاستثناء (SEHOP) النظام ومستوى التطبيق SEHOP, SEHOPTelemetry التدقيق غير متوفر
التحقق من صحة تكامل كومة الذاكرة المؤقتة النظام ومستوى التطبيق TerminateOnError التدقيق غير متوفر
حماية التعليمات البرمجية العشوائية (ACG) على مستوى التطبيق فقط DynamicCode AuditDynamicCode
حظر الصور منخفضة التكامل على مستوى التطبيق فقط BlockLowLabel AuditImageLoad
حظر الصور البعيدة على مستوى التطبيق فقط BlockRemoteImages التدقيق غير متوفر
حظر الخطوط غير الموثوقة على مستوى التطبيق فقط DisableNonSystemFonts AuditFont, FontAuditOnly
حماية تكامل التعليمات البرمجية على مستوى التطبيق فقط BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned، AuditStoreSigned
تعطيل نقاط الملحق على مستوى التطبيق فقط ExtensionPoint التدقيق غير متوفر
تعطيل مكالمات نظام Win32k على مستوى التطبيق فقط DisableWin32kSystemCalls AuditSystemCall
عدم السماح بالعمليات التابعة على مستوى التطبيق فقط DisallowChildProcessCreation AuditChildProcess
تصدير عوامل تصفية العنوان (EAF) على مستوى التطبيق فقط EnableExportAddressFilterPlus، EnableExportAddressFilter[1] التدقيق غير متوفر [2]
استيراد عوامل تصفية العنوان (IAF) على مستوى التطبيق فقط EnableImportAddressFilter التدقيق غير متوفر [2]
محاكاة التنفيذ (SimExec) على مستوى التطبيق فقط EnableRopSimExec التدقيق غير متوفر [2]
التحقق من صحة استدعاء واجهة برمجة التطبيقات API (CallerCheck) على مستوى التطبيق فقط EnableRopCallerCheck التدقيق غير متوفر [2]
التحقق من صحة استخدام المؤشر على مستوى التطبيق فقط StrictHandle التدقيق غير متوفر
التحقق من صحة تكامل تبعية الصورة على مستوى التطبيق فقط EnforceModuleDepencySigning التدقيق غير متوفر
التحقق من صحة تكامل المكدس (StackPivot) على مستوى التطبيق فقط EnableRopStackPivot التدقيق غير متوفر [2]

[1]: استخدم التنسيق التالي لتمكين وحدات EAF النمطية ل DLLs لعملية:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: لا يتوفر التدقيق لهذا التخفيف عبر أوامر PowerShell cmdlets.

تخصيص الإعلام

للحصول على معلومات حول تخصيص الإعلام عند تشغيل قاعدة وحظر تطبيق أو ملف، راجع أمن Windows.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.